Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 27
Tableau récapitulatif :
Rappel des alertes CERT-FR
Multiples vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway
Le 17 juin 2025, Citrix a publié un bulletin de sécurité concernant notamment la vulnérabilité CVE-2025-5777 . Celle-ci permet à un attaquant non authentifié de faire fuiter des portions aléatoires de la mémoire de NetScaler ADC et NetScaler Gateway et ainsi potentiellement récupérer les informations de connexion d'une session active.Le 25 juin 2025, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2025-6543 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a attribué un score CVSS v4.0 de 9,2 et indique qu'elle permet à un attaquant de provoquer un débordement de mémoire entrainant un flux de contrôle imprévu et un déni de service à distance. L'équipement est vulnérable s'il est configuré en tant que passerelle (Gateway : VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou en tant que serveur virtuel AAA (AAA virtual server).
Citrix déclare avoir connaissance d'exploitations actives de la vulnérabilité CVE-2025-6543.
Le 4 juillet 2025, une preuve de concept a été publiée publiquement pour la vulnérabilité CVE-2025-5777. Celle-ci est triviale à utiliser et le CERT-FR constate des exploitations actives. La vulnérabilité CVE-2025-5777 est exploitable par le biais du formulaire d'authentification.
Les vulnérabilités CVE-2025-6543 et CVE-2025-5777 étant activement exploitées, tout Netscaler exposé qui n'aurait pas reçu les correctifs pour ces deux vulnérabilités doit être considéré comme compromis.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-009/
- https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
- https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694799
Autres vulnérabilités
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis éditeur |
---|---|---|---|---|---|---|---|
vercel | next.js | CVE-2025-29927 | 9.1 | Contournement de la politique de sécurité | 21/03/2025 | Code d'exploitation public | https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw |
Smarsh | Telemessage | CVE-2025-48928 | 4 | Atteinte à la confidentialité des données | 18/05/2025 | Exploitée | https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/ |
Smarsh | Telemessage | CVE-2025-48927 | 5.3 | Atteinte à la confidentialité des données | 18/05/2025 | Exploitée | https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/ |
CVE-2025-32462, CVE-2025-32463 : Multiples vulnérabilités dans Sudo
Le 30 juin 2025, l'éditeur du projet sudo a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-32462 et CVE-2025-32643.La vulnérabilité CVE-2025-32462 permet à un attaquant de provoquer une élévation de privilège via l'option host
(-h
ou --host
). Les systèmes avec la commande sudo ayant une version entre 1.8.8 et 1.9.17 et un fichier sudoers
contenant une régle dont le champ Host
est différent de l'hôte local ou de la valeur ALL
sont affectés par cette vulnérabilité.
La vulnérabilité CVE-2025-32463 permet à un attaquant de provoquer une élévation de privilège via l'option chroot
(-R
ou --chroot
). Les systèmes qui sont compatibles avec le fichier /etc/nsswitch.conf
et avec la commande sudo ayant une version entre 1.9.14 et 1.9.17 sont affectés par cette vulnérabilité.
Des preuves de concept sont disponibles pour les deux vulnérabilités.La version 1.9.17p1 corrige ces deux vulnérabilités.